一种可信平台连接方法与流程

本发明涉及计算机安全领域，具体涉及一种可信平台连接方法。

背景技术：

当前，在个人办公桌面操作系统领域，虽然受到了越来越多的新型产品的挑战，但是windows系统依然占据统治地位，其市场占有率高达91.41％。苹果的macosx占有率则为6.32％，而linux占有率只有2.27％。

windows系统以其直观、简洁、大方的界面赢得全球用户的青睐，但是windows系统自身也存在一些问题，如windows自身系统的不透明性导致未知漏洞丛生等，5月份爆发的勒索病毒事件更是很好的例证。另外windows在进行网络连接时，主要采用tnc连接架构由于tnc采用单向平台完整性校验架构，不仅对连接平台双向的可信性无法保证，而且对接入平台行为的可信性无法保证。

技术实现要素：

针对现有技术中存在的上述问题，本发明面向windows环境，提出了对应的网络可信连接框架，保证windows的可信连接。

一种可信平台连接方法，其特征在于，包括：

步骤s1、用户身份鉴别，其中通过网关对用户身份进行鉴别，若鉴别通过则进入步骤s2，否则禁止本次连接操作；

步骤s2、平台安全性鉴别，鉴别的内容包括系统的行为信息以及平台的完整性度量值，鉴别完成后进入步骤s3；

步骤s3、根据鉴别结果控制网络连接，若鉴别结果为合格，则允许当前网络连接，否则拒绝当前网络连接。

优选的，所述步骤s1还包括：

步骤s11、连接准备：在连接开始前，windows终端和服务器接入端通过绑定tpcm相关接口进行完整性收集；

步骤s12、用户向网关发送网络接入请求；

步骤s13、用户和网关进行用户身份鉴别：基于可信第三方认证中心通过秘钥协商协议，建立通信秘钥key，通信秘钥建立后，用户将相关信息u通过秘钥加密,发送到网关，网关解密后，与已存储的信息对比，进行鉴别，若鉴别通过则进入步骤s2，否则拒绝所述接入请求。

优选的，所述步骤s2还包括：

步骤s21、用户向windows终端发送平台鉴别请求，网关向服务端接入点发送平台鉴别请求；

步骤s22、服务端接入点收到平台鉴别请求后，与第三方认证中心执行至少一轮平台鉴别协议，实现访问请求者和访问控制者之间的平台鉴别；

步骤s23、平台鉴别过程中，windows终端和服务端接入点通过平台的if-imc接口标准与tpcm的各个imc进行信息交互，获取平台的完整性信息m，可信第三方通过if-imc接口标准与存储的imc进行信息交互获取标准值信息m’。

优选的，所述完整性信息m还包括：

硬盘信息，内存信息，操作系统版本，重要补丁，网络信息，相关驱动。

优选的，所述步骤s23之后还包括：

步骤s24、tpcm调用if-agc接口对系统的行为进行收集；

步骤s25、可信第三方调用存储的完整性校验接口，对用户和网关的平台完整性度量值进行校验和评估，可信第三方依据评估策略生成用户和网关的平台完整性评估结果，将平台完整性结果发送到windows终端和服务端接入点。

优选的，所述行为还包括：

在计算机当前的运行环境下，应用操作是否符合规律、是否存在非法访问、操作序列是否合法、网络请求情况中的至少一者。

优选的，所述对用户和网关的平台完整性度量值进行校验和评估包括：

验证所述平台的完整性信息m与m’标准值信息是否相同。

优选的，所述步骤s3还包括：

步骤31、windows终端和服务端接入点分别依据可信第三方生成的评估结果生成访问决策，分别发送给用户和网关；

步骤32、用户和网关根据生成的访问决策执行访问控制，网关根据生成的访问决策控制用户对受保护网络的访问，用户根据生成的访问决策决定是否连接到该受保护的网络，从而实现windows可信网络连接。

本发明涉及一种可信平台连接方法，包括用户身份鉴别、平台安全性鉴别以及根据鉴别结果控制网络连接等步骤，采用可信网络连接架构，结合用户行为分析，实现windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别，令windows服务器对接入终端的行为进行可信认证，根据鉴别结果决定是否允许安全的网络请求接入，从而实现可信的网络连接。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1为本发明实施例一中一种可信平台连接系统的架构图；

图2为本发明实施例三中一种可信平台连接方法的流程图。

具体实施方式

现结合附图，对本发明的较佳实施例作详细说明。

实施例一

本实施例提出了一种可信平台连接系统，如图1所示，包括访问请求者、访问控制器和可信第三方，其中所述访问请求者和所述访问控制器通过所述可信第三方进行双向身份鉴别和可信平台评估，所述系统具体包括：

(1)访问请求者

访问请求者功能主要包括：发起网络访问请求，实现与访问控制器的双向身份鉴别；对windows接入终端的完整性进行收集，生成完整性度量报告，完成与访问控制器的双向平台完整性评估；同时，对windows应用行为进行收集，生成相应度量报告，发送到策略管理器。

访问请求者包括以下功能模块：windows访问请求者，windows应用行为收集者，tpcm,windows终端，用户。

(2)访问控制器

访问控制器主要功能包括实现与访问请求者的双向身份鉴别，实现对访问请求者的可信评估，同时，实现对服务端接入点的行为收集；接收windows接入终端的完整性度量值，完成对服务端接入点的完整性度量值，把这些度量值发送到可信认证中心。对接入点行为完整性进行收集，将度量结果发送到策略管理中心。

访问控制器主要包括以下模块：windows访问控制器，访问请求者，接入端tpcm，服务器接入端，网关。

(3)可信第三方

可信第三方主要功能是在访问请求者和访问控制器在双向身份鉴别过程中充当可信第三方，对双方证书有效性进行验证；对windows接入终端的平台完整性、服务器接入端的平台完整性进行校验评估，形成度量报告，并对其行为完整性进行度量进行校验。

可信第三方主要包括以下模块：windows行为校验者，完整性度量校验者，可信认证中心。

下面对所述可信平台连接系统中涉及到的功能部件进行解释说明：

(1)用户

用户负责发起网络请求，并在可信认证中心协助下完成与网关的双向身份鉴别，将上层协议数据包发送到访问控制器和可信第三方，并依据身份鉴别结果和上层下发的访问控制策略实现访问控制。

(2)网关

网关接收用户发起的网络请求，并通过可信第三方实现与用户的双向身份鉴别，将上层协议数据包发送到可信第三方，依据身份鉴别结果和上层下发的访问控制策略实现对用户网络请求的访问控制。

(3)可信认证中心

在用户和网关的双向身份鉴别和可信平台评估过程中充当可信第三方。

(4)windows终端

向评估层请求并收集完整性信息，在可信认证中心帮助下实现可信平台完整性评估。

(5)服务端接入点

接收windows终端的完整性信息，向评估层请求并收集完整性信息，在可信认证中心帮助下实现与windows终端的可信平台完整性评估。把可信第三方生成的完整性评估策略发送到网关。

(6)tpcm

实现终端和接入端的完整性收集，生成相应的完整性报告。调用行为收集接口，对windows应用的行为完整性进行收集。

(7)完整性校验者

对接收到的windows终端和服务端接入点的完整性进行校验评估。

(8)windows应用行为收集者

收集windows终端应用的行为完整性。

(9)windows应用行为请求者

收集服务端接入点的行为完整性。

(10)windows应用行为校验者

对终端的行为完整性和接入点的行为完整性进行校验评估。

本实施例提出了一种面向windows环境的可信平台连接系统，采用可信网络连接架构，结合用户行为分析，实现windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别，根据鉴别结果决定是否允许安全的网络请求接入，从而实现可信的网络连接。

实施例二

基于实施例一中提出的一种可信平台连接系统，本实施例对其软件系统架构层次进行说明，所述系统包括网络访问控制层、可信平台评估层、完整性度量层和行为收集层，上述系统架构层具体包括：

(1)网络访问控制层

网络访问控制层的功能主要包括在可信认证中心的帮助下实现windows访问请求者和windows访问控制器的双向身份鉴别，根据鉴别结果和评估层的评估策略实现访问控制。

(2)可信平台评估层

可信平台评估层主要实现windows接入终端和服务端接入点的平台完整性评估校验。可信认证中心充当可信第三方。windows终端和服务端接入点调用度量层的相关接口，获取平台完整性信息，发送到可信认证中心，可信认证中心调用完整性校验层中的完整性校验者接口对终端和接入点的完整性进行校验。

(3)完整性度量层

完整性度量层主要实现对windows接入终端和服务端接入点的平台完整性进行收集，并生成相应的完整性报告。完整性收集完成发送到可信第三方的完整性校验者进行校验。

(4)行为收集层

行为收集层实现windows网络行为的收集，对网络接入时终端和接入端的平台安全行为进行收集，相关的安全行为包括应用是否符合规律、是否存在应用的非法访问、对操作序列是否正确等。

实施例三

基于实施例一中的可信平台连接系统和实施例二中系统软件架构，本实施例提出了一种可信平台连接方法，如图2所示，包括用户身份鉴别、平台安全性鉴别以及根据鉴别结果控制网络连接三大步骤，所述方法的详细流程如下：

1)连接准备：在连接开始前，windows终端和服务器接入端通过绑定tpcm相关接口进行完整性收集；

2)用户向网关发送网络接入请求；

3)用户和网关进行用户身份鉴别。基于可信第三方认证中心通过秘钥协商协议，建立通信秘钥key，通信秘钥建立后，用户将相关信息u(id,password)通过秘钥加密,发送到网关，网关解密后，与已存储的信息对比，进行鉴别，若鉴别通过则进入步骤4)，否则拒绝所述接入请求；

4)用户向windows终端发送平台鉴别请求，网关向服务端接入点发送平台鉴别请求；

5)服务端接入点收到平台鉴别请求后，与第三方认证中心执行一轮或多轮平台鉴别协议，实现访问请求者和访问控制者之间的平台鉴别；

6)平台鉴别过程中，windows终端和服务端接入点通过平台的if-imc与tpcm的各个imc进行信息交互，获取平台的完整性信息m(硬盘信息，内存信息，操作系统版本，重要补丁，网络信息，相关驱动等)，可信第三方通过if-imc与存储的imc进行信息交互获取标准值信息m’；

7)平台鉴别过程中，除了平台基本信息外，还需要收集系统的动态信息，即行为信息。tpcm调用if-agc接口对行为进行收集，行为包括计算机当前的运行环境，例如应用操作是否符合规律、是否存在非法访问、操作序列是否合法、网络请求情况等；

8)在平台鉴别过程中，可信第三方调用存储的完整性校验接口，对用户和网关的平台完整性度量值进行校验和评估(即验证m＝＝m’)，可信第三方依据评估策略生成用户和网关的平台完整性评估结果，将平台完整性结果发送到windows终端和服务端接入点；

9)windows终端和服务端接入点分别依据可信第三方生成的评估结果生成访问决策，分别发送给用户和网关；

10)用户和网关根据生成的访问决策执行访问控制，网关根据生成的访问决策控制(允许、拒绝)用户对受保护网络的访问，用户根据生成的访问决策决定是否连接到该受保护的网络，从而实现windows可信网络连接。

本发明提出了一种可信平台连接系统及方法，采用可信网络连接架构，结合用户行为分析，实现windows环境下接入网络的用户身份鉴别、双向平台鉴别和平台完整性鉴别，令windows服务器对接入终端的行为进行可信认证，根据鉴别结果决定是否允许安全的网络请求接入，从而实现可信的网络连接。

在本发明所提供的几个实施例中，应该理解到，所揭露的方法和终端，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

另外，在不发生矛盾的情况下，上述几个实施例中的技术方案可以相互组合和替换。

所述作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能模块的形式实现。

对于本领域技术人员而言，显然本发明不限于上述示范性实施例的细节，而且在不背离本发明的精神或基本特征的情况下，能够以其他的具体形式实现本发明。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本发明的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。系统权利要求中陈述的多个模块或装置也可以由一个模块或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。

最后应说明的是，以上实施例仅用以说明本发明的技术方案而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或等同替换，而不脱离本发明技术方案的精神和范围。